Omówienie kontroli dostępu opartej na rolach w usłudze Microsoft Entra ID

W tym artykule opisano sposób zrozumienia kontroli dostępu opartej na rolach firmy Microsoft. Role firmy Microsoft Entra umożliwiają przyznawanie administratorom szczegółowych uprawnień, przestrzegając zasady najniższych uprawnień. Wbudowane i niestandardowe role firmy Microsoft entra działają na pojęciach podobnych do tych, które można znaleźć w systemie kontroli dostępu opartej na rolach dla zasobów platformy Azure (role platformy Azure). Różnica między tymi dwoma systemami kontroli dostępu opartej na rolach jest:

• Role firmy Microsoft Entra kontrolują dostęp do zasobów firmy Microsoft Entra, takich jak użytkownicy, grupy i aplikacje przy użyciu interfejsu API programu Microsoft Graph
• Role platformy Azure kontrolują dostęp do zasobów platformy Azure, takich jak maszyny wirtualne lub magazyn przy użyciu usługi Azure Resource Management

Oba systemy zawierają podobnie używane definicje ról i przypisania ról. Jednak uprawnienia roli Entra firmy Microsoft nie mogą być używane w niestandardowych rolach Azure ani odwrotnie.

Poznanie roli kontroli dostępu opartej na rolach w Microsoft Entra

Identyfikator Entra firmy Microsoft obsługuje dwa typy definicji ról:

• Wbudowane role
• role niestandardowe

Wbudowane role to gotowe role, które mają stały zestaw uprawnień. Nie można modyfikować tych definicji ról. Istnieje wiele wbudowanych ról, które obsługuje Microsoft Entra ID, a ich lista stale rośnie. Aby doprecyzować szczegóły i spełnić zaawansowane wymagania, Microsoft Entra ID obsługuje również role niestandardowe. Udzielanie uprawnień przy użyciu niestandardowych ról firmy Microsoft Entra jest procesem dwuetapowym, który obejmuje utworzenie niestandardowej definicji roli, a następnie przypisanie jej przy użyciu przypisania roli. Definicja roli niestandardowej to kolekcja uprawnień dodanych z listy ustawień wstępnych. Uprawnienia te są takie same, jak te używane we wbudowanych rolach.

Po utworzeniu niestandardowej definicji roli (lub przy użyciu wbudowanej roli) możesz przypisać ją użytkownikowi, tworząc przypisanie roli. Przypisanie roli przyznaje użytkownikowi uprawnienia w definicji roli w określonym zakresie. Ten dwuetapowy proces umożliwia utworzenie pojedynczej definicji roli i przypisanie jej wiele razy w różnych zakresach. Zakres definiuje zestaw zasobów firmy Microsoft Entra, do których członek roli ma dostęp. Najczęstszym zakresem jest zakres ogólnoorganizacyjny. Rolę niestandardową można przypisać na poziomie całej organizacji, co oznacza, że członek roli ma uprawnienia przypisane do roli do wszystkich zasobów w organizacji. Rolę niestandardową można również przypisać w zakresie obiektu. Przykładem zakresu obiektu jest jedna aplikacja. Tę samą rolę można przypisać do jednego użytkownika we wszystkich aplikacjach w organizacji, a następnie do innego użytkownika z zakresem tylko aplikacji Raporty wydatków firmy Contoso.

Jak identyfikator Entra firmy Microsoft określa, czy użytkownik ma dostęp do zasobu

Poniżej przedstawiono ogólne kroki używane przez usługę Microsoft Entra ID w celu określenia, czy masz dostęp do zasobu zarządzania. Skorzystaj z tych informacji, aby rozwiązać problemy z dostępem.

1. Użytkownik (lub jednostka usługi) uzyskuje token do punktu końcowego programu Microsoft Graph.
2. Użytkownik wykonuje wywołanie interfejsu API do identyfikatora Entra firmy Microsoft za pośrednictwem programu Microsoft Graph przy użyciu wystawionego tokenu.
3. W zależności od okoliczności identyfikator Entra firmy Microsoft wykonuje jedną z następujących czynności:
   • Ocenia członkostwo użytkownika w rolach na podstawie oświadczenia wids w tokenie dostępu użytkownika.
   • Pobiera wszystkie przypisania ról, które mają zastosowanie do użytkownika, bezpośrednio lub za pośrednictwem członkostwa w grupie, do zasobu, na którym jest wykonywana akcja.
4. Identyfikator Entra firmy Microsoft określa, czy akcja wywołania interfejsu API jest uwzględniona w rolach, które użytkownik ma dla tego zasobu.
5. Jeśli użytkownik nie ma roli umożliwiającej wykonanie tej akcji w żądanym zakresie, dostęp nie zostanie udzielony. W przeciwnym razie przyznaje się dostęp.

Przypisanie roli

Przypisanie roli to zasób Microsoft Entra, który dołącza definicję roli do podmiotu zabezpieczeń w określonym zakresie , umożliwiając dostęp do zasobów Microsoft Entra. Dostęp jest udzielany przez utworzenie przypisania roli, a odbierany przez usunięcie przypisania roli. Zasadniczo, przypisanie roli składa się z trzech elementów.

• Podmiot zabezpieczeń — tożsamość, która otrzymuje uprawnienia. Może to być użytkownik, grupa lub jednostka usługi.
• Definicja roli — kolekcja uprawnień.
• Zakres — sposób ograniczenia, w którym te uprawnienia mają zastosowanie.

Możesz utworzyć przypisania ról i wyświetlić listę przypisań ról przy użyciu centrum administracyjnego firmy Microsoft Entra, programu Microsoft Graph PowerShelllub interfejsu API programu Microsoft Graph. Interfejs wiersza polecenia platformy Azure nie jest obsługiwany w przypadku przypisań ról firmy Microsoft Entra.

Na poniższym diagramie przedstawiono przykład przypisania roli. W tym przykładzie Chris ma przypisaną rolę niestandardową Administrator rejestracji aplikacji w zakresie rejestracji aplikacji Contoso Widget Builder. Przypisanie przyznaje Chrisowi uprawnienia w roli Administratora Rejestracji Aplikacji tylko dla tej konkretnej rejestracji aplikacji.

Podmiot zabezpieczeń

Podmiot zabezpieczeń reprezentuje użytkownika, grupę lub jednostkę usługi, która ma przypisany dostęp do zasobów firmy Microsoft Entra. Użytkownik to osoba, która ma profil użytkownika w usłudze Microsoft Entra ID. Grupa to nowa grupa platformy Microsoft 365 lub grupy zabezpieczeń, która została ustawiona jako grupy z możliwością przypisywania ról. Zasada usługi to tożsamość utworzona do użycia z aplikacjami, hostowanymi usługami i zautomatyzowanymi narzędziami w celu uzyskania dostępu do zasobów Microsoft Entra.

Definicja roli

Definicja roli lub rola to kolekcja uprawnień. Definicja roli zawiera listę operacji, które można wykonać w zasobach firmy Microsoft Entra, takich jak tworzenie, odczytywanie, aktualizowanie i usuwanie. Istnieją dwa typy ról w identyfikatorze Entra firmy Microsoft:

• Wbudowane role utworzone przez firmę Microsoft, których nie można zmienić.
• Role niestandardowe utworzone i zarządzane przez organizację.

Zakres

Zakres to sposób ograniczenia dozwolonych akcji do określonego zestawu zasobów w ramach przypisania roli. Jeśli na przykład chcesz przypisać rolę niestandardową do dewelopera, ale tylko w celu zarządzania określoną rejestracją aplikacji, możesz uwzględnić określoną rejestrację aplikacji jako zakres w przypisaniu roli.

Podczas przypisywania roli należy określić jeden z następujących typów zakresu:

• Najemca
• jednostka administracyjna
• Zasób Microsoft Entra

Jeśli określisz zasób Microsoft Entra jako zakres, może to być jeden z następujących elementów:

• Grupy Microsoft Entra
• Aplikacje dla przedsiębiorstw
• Rejestracje aplikacji

Gdy rola jest przypisywana w zakresie kontenera, takiego jak tenant lub jednostka administracyjna, przyznaje uprawnienia do obiektów, które są w nim zawarte, ale nie do samego kontenera. Wręcz przeciwnie, gdy rola jest przypisywana w zakresie zasobów, przyznaje uprawnienia do samego zasobu, ale nie wykracza poza (w szczególności nie rozciąga się ona na członków grupy Microsoft Entra).

Aby uzyskać więcej informacji, zobacz Assign Microsoft Entra roles.

Opcje przypisania roli

Identyfikator entra firmy Microsoft udostępnia wiele opcji przypisywania ról:

• Role można przypisywać bezpośrednio użytkownikom, co jest domyślnym sposobem przypisywania ról. Zarówno wbudowane, jak i niestandardowe role entra firmy Microsoft można przypisać do użytkowników na podstawie wymagań dostępu. Aby uzyskać więcej informacji, zobacz Przydzielanie ról Microsoft Entra.
• Za pomocą identyfikatora P1 firmy Microsoft można tworzyć grupy z możliwością przypisywania ról i przypisywać role do tych grup. Przypisywanie ról do grupy zamiast osób umożliwia łatwe dodawanie lub usuwanie użytkowników z roli i tworzenie spójnych uprawnień dla wszystkich członków grupy. Aby uzyskać więcej informacji, zapoznaj się z Przydzielanie ról Microsoft Entra.
• Dzięki usłudze Microsoft Entra ID P2 możesz użyć usługi Microsoft Entra Privileged Identity Management (Microsoft Entra PIM), aby zapewnić dostęp w odpowiednim czasie do ról. Ta funkcja umożliwia udzielanie ograniczonemu czasowi dostępu do roli użytkownikom, którzy tego potrzebują, zamiast udzielać stałego dostępu. Udostępnia również szczegółowe funkcje raportowania i inspekcji. Aby uzyskać więcej informacji, zobacz Przypisywanie ról Microsoft Entra w Privileged Identity Management.

Wymagania licencyjne

Korzystanie z wbudowanych ról w usłudze Microsoft Entra ID jest bezpłatne. Używanie ról niestandardowych wymaga licencji Microsoft Entra ID P1 dla każdego użytkownika z przypisaniem roli niestandardowej. Aby znaleźć odpowiednią licencję dla swoich potrzeb, zapoznaj się z Porównanie ogólnie dostępnych funkcji edycji Bezpłatnej i Premium.

Następne kroki

• Zrozumienie ról Microsoft Entra
• Przypisanie ról Microsoft Entra
• Forum Microsoft Entra